La Cnil sanctionne Free très lourdement pour ses failles de sécurité : une impasse ?

Free doit s’acquitter d’une amende totale de 42 millions d’euros infligée par la Cnil. Les sanctions sont respectivement de 27 et 15 millions d’euros infligées à Free Mobile et Free. La Cnil affirme que les mesures de sécurité des données des abonnés étaient inadaptées.

Motiver les autres entreprises à se sécuriser ?

Le montant de l’amende est très élevé. La Cnil souhaite probablement que la publicité de cette sanction motive les autres entreprises afin qu’elles agissent pour se protéger. Cela semble un vœu pieux car protéger un système d’information est un processus sans fin et les hackers ont toujours un coup d’avance. Pourquoi ne pas sanctionner ces hackers à la hauteur des amendes et des coûts de sécurisation qu’ils infligent aux entreprises ou sanctionner les services de l’Etat, la Police en tête car ils sont incapables de protéger les entreprises ?

En ce qui concerne l’attaque contre Free et Free Mobile, la Cnil rappelle ce qui s’est passé en octobre 2024. Un attaquant est parvenu à s’infiltrer dans le système d’information des sociétés et à accéder à des données personnelles concernant 24 millions de contrats d’abonnés, dont les coordonnées bancaires IBAN lorsque les personnes étaient à la fois clientes de la société FREE MOBILE et de la société FREE.

La rédaction vous propose par secteur d'activité :

Luxe

Banque

Assurance

Transport

Santé

La Cnil a réalisé un contrôle. Elle sanctionne la méconnaissance de principes essentiels de sécurité, le nombre de personnes concernées et le caractère « hautement » personnel des données compromises ainsi que des risques engendrés par la fuite de certaines données telles que les IBAN.

Accès insuffisamment sécurisé au VPN de Free

La Cnil souligne que la procédure d’authentification pour se connecter au VPN de la société FREE MOBILE et à celui de la société FREE – utilisée en particulier pour le travail à distance des employés – n’était pas suffisamment robuste. De plus, les mesures déployées par les sociétés FREE MOBILE et FREE afin de détecter les comportements anormaux sur leur système d’information étaient inefficaces.

La Cnil reconnaît qu’il est impossible d’éliminer tout risque, mais elle estime que l’on peut en réduire la probabilité et, le cas échéant, en limiter la gravité. La Cnil affirme que les mesures de sécurité déployées par les sociétés afin d’assurer la confidentialité des données personnelles n’étaient pas adaptées.

De plus, lors de l’information des clients, la Cnil considère que l’email envoyé ne comportait pas toutes les informations nécessaires visées au paragraphe 2 de l’article 34 du RGPD. Elle estime que ces omissions ne permettaient notamment pas aux personnes concernées de comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci.

Tri des données clients insuffisant

D’autre part, la Cnil a constaté que, au jour du contrôle, Free Mobile n’avait pas mis en place de mesures permettant de trier les données des anciens abonnés, afin de ne conserver que celles nécessaires à des fins comptables, puis de les supprimer lorsque cette conservation n’apparaît plus nécessaire. La Cnil estime que la société Free Mobile avait conservé des millions de données de ses abonnés, sans justification, pendant une durée excessive.

Free Mobile, lors de la procédure, a initié un tri afin de conserver pendant dix ans les seules données qui lui sont nécessaires pour respecter des obligations comptables et, a supprimé une partie des données conservées pendant une durée excessive. La Cnil a enjoint à la société de finaliser le tri et la purge des données dans un délai de six mois à compter de la notification de la délibération.